Home-Made SOC (Security Operation Center)

Zdravo, evo izvestaja sta smor adili na predhodne 2 radionice:

Pricali smo o open-source platformi Wazuh koja se moze koristiti kao osnov za SIEM (Security information and event management).
Wazuh se sastoji iz 3 komponente:

  1. Indexer-a - Elastic
  2. Dashboard-a - Kibana
  3. Glavnog servera - sadrzi pravila, dekodere, konfiguraciju, upravlja klijentima…

Kada se wazuh instalira, mogu se sa platforme instalirati wazuh klijenti na masine sa kojih se zele sakupljati logovi.

Wazuh ima dobru dokumentaciju u kojij se mogu naci sve informacije za platformu i nacin funckionisanja.
Moze se instalirati preko shell skripte, docker-a, Ansible…

Wazuh ima mnoge mogucnosti, pa je zbog njih prerastao u EDR ili XDR resenje.

  • File Integrity Monitoring
  • All commands logging (syslog)
  • System call monitoring
  • Rootkit detection
  • CDB list
  • YARA rules
  • Anomaly detection
  • ClamAV integration
  • Active response (firewall, shutdown, delete, …)
  • Security Configuration check (hardening and best practices differences)
  • Email alerts
  • OsQuery integration - system level changes (process opens port on all interfaces, …)
  • Vulnerability detection
  • MITRE Att&ck tactics techniques detection
  • OpenSCAP checks
  • HIPAA/PCI-DSS/GDPR/NIST/TSC compliance
  • System inventory
  • Container security
  • Syslog server
  • Custom rules/decoders
  • Network IDS integration (Suricata, Snort, Zeek).

Pokazali smo kako moze nadgledati zadate direktorijume ili fajlove na promene prema dokumentaciji na: File integrity monitoring - Capabilities · Wazuh documentation i kako se moze integrisati sa YARA prateci upustvo: Detecting malware using YARA integration - Proof of Concept guide

Pored Wazuh-a instaliracemo dodatne open-source platforme koje ce obogatiti spektar funkcionalnosti u okviru pravljenja naseg Home-Made SOC-a.

Ideja je da imamo VPN u Krovu za remote pristup svima koji budu ucestvovali u radionici, a benefiti koje cemo time dobiti osim znanja i vestine u oblasti CyberSecurity-ja su da cemo imati platformu koju mozemo iskorititi da nadgledamo nase sisteme na upade.

Ko zeli da proba Wazuh na 14 dana moze da se registruje na njihovoj Cloud platformi za dzabe testiranje: Wazuh Cloud

5 Likes

GitHub - SigmaHQ/sigma: Main Sigma Rule Repository pravila
GitHub - wagga40/Zircolite: A standalone SIGMA-based detection tool for EVTX, Auditd and Sysmon for Linux logs
CyberSecurity defense radionice - #6 by Anonionman
att4k mitre matrix
GitHub - rabobank-cdc/DeTTECT: Detect Tactics, Techniques & Combat Threats
sysmon-modular/attack_matrix/README.md at master · olafhartong/sysmon-modular · GitHub
https://www.ossec.net/
https://docs.velociraptor.app/
Cuckoo Sandbox · GitHub
https://www.misp-project.org/
GitHub - OpenCTI-Platform/opencti: Open Cyber Threat Intelligence Platform
SOC Prime - Invidious

Zdravo,
Nažalost moraću da otkazem sutrašnju Home-made SoC radionicu zbog obaveza, ali ću ovde uskoro napisati neke korisne stvari koje sam hteo da pokažem.
Biću u krovu da prodjemo nešto zajedno ako hoćete ali nemam spremnu prezentaciju i demo

2 Likes